等級(jí)三級(jí)系統(tǒng)安全防護(hù)應(yīng)用

1、等級(jí)三級(jí)系統(tǒng)安全防護(hù)應(yīng)用概述信息安全等級(jí)保護(hù)制度作為國家信息安全保護(hù)的基本國策，目 前已在全國各行業(yè)得到廣泛推廣和落實(shí)。 根據(jù)國家的相關(guān)要求， 已經(jīng) 定級(jí)備案的信息系統(tǒng)應(yīng)在三年之內(nèi)完成整改建設(shè)工作， 并通過等級(jí)保 護(hù)相關(guān)測(cè)評(píng)。 隨著等保建設(shè)逐步提上日程， 各單位在如何利用現(xiàn)有安 全保密產(chǎn)品的條件下， 結(jié)合本單位實(shí)際滿足等保要求方面面臨諸多困 惑。筆者結(jié)合本單位在等保建設(shè)中的實(shí)踐， 拋磚引玉， 就三級(jí)系統(tǒng)下 如何滿足等保要求進(jìn)行有效的探索。 第三級(jí)系統(tǒng)安全保護(hù)環(huán)境的設(shè)計(jì) 目標(biāo)是：按照 GB17859-1999對(duì)第三級(jí)系統(tǒng)的安全保護(hù)要求，在第二 級(jí)系統(tǒng)安全保護(hù)環(huán)境的基礎(chǔ)上， 通過實(shí)現(xiàn)基于安全策略模

2、型和標(biāo)記的 強(qiáng)制訪問控制以及增強(qiáng)系統(tǒng)的審計(jì)機(jī)制， 使系統(tǒng)具有在統(tǒng)一安全策略 管控下，保護(hù)敏感資源的能力。本系統(tǒng)根據(jù) “ 一個(gè)中心 ”管理下的 “三重保護(hù) ”體系框架進(jìn)行 設(shè)計(jì)，構(gòu)建安全機(jī)制和策略， 形成定級(jí)系統(tǒng)的安全保護(hù)環(huán)境。 該環(huán)境 共包括四部分： 安全計(jì)算環(huán)境、 安全區(qū)域邊界、 安全通信網(wǎng)絡(luò)和安全 管理中心。1、等級(jí)保護(hù)三級(jí)系統(tǒng)的防護(hù)要求與設(shè)計(jì)要求分析按照等級(jí)保護(hù)三級(jí)的要求， 筆者主要針對(duì)以下 四個(gè)方面進(jìn)行設(shè)計(jì)：2.1 安全計(jì)算環(huán)境設(shè)計(jì)(1) 用戶身份鑒別 應(yīng)支持用戶標(biāo)識(shí)和用戶鑒別。(2) 自主訪問控制在安全策略控制范圍內(nèi)， 使用戶對(duì)其創(chuàng)建的 對(duì)象具有訪問操作權(quán)限， 這個(gè)權(quán)限可以根據(jù)用戶

3、進(jìn)行授權(quán)?？梢跃唧w到針對(duì)被訪問對(duì)象的具體操 作。(3) 標(biāo)記和強(qiáng)制訪問控制 可以對(duì)訪問者和被訪問者在身份鑒別的基 礎(chǔ)上進(jìn)行安全標(biāo)記， 實(shí)現(xiàn)對(duì)主體訪問客體的操作 進(jìn)行控制。(4) 系統(tǒng)安全審計(jì)對(duì)訪問行為進(jìn)行完整的審計(jì)， 審計(jì)的內(nèi)容包 括訪問對(duì)象、被訪問對(duì)象，訪問的行為、時(shí)間等 內(nèi)容。(5) 用戶數(shù)據(jù)完整性保護(hù)采用備份、 HASH方法對(duì)數(shù)據(jù)的完整性進(jìn)行 保護(hù)，防止被篡改。(6) 用戶數(shù)據(jù)保密性保護(hù)采用密碼等技術(shù)支持的保密性保護(hù)機(jī)制， 對(duì) 在安全計(jì)算環(huán)境中存儲(chǔ)和處理的用戶數(shù)據(jù)進(jìn)行 保密性保護(hù)。(7) 客體安全重用 客體安全重用即指被訪問對(duì)象不應(yīng)保留訪 問對(duì)象的特征，避免由于不同訪問對(duì)象的訪問而 造成

4、訪問對(duì)象之間信息的泄露。(8) 程序可信執(zhí)行保護(hù)采用可信計(jì)算技術(shù)， 保證程序執(zhí)行過程是可 信的?？尚攀莻€(gè)復(fù)雜的環(huán)節(jié)， 但是我們可以在重 點(diǎn)服務(wù)器計(jì)算環(huán)境內(nèi)實(shí)現(xiàn)可信。對(duì)于(1), (2), (3), (4) 的要求可以通過高 強(qiáng)度的身份認(rèn)證產(chǎn)品實(shí)現(xiàn)。 (5), (6), (7) 可以 通過比較流行的敏感信息數(shù)據(jù)保護(hù)技術(shù)實(shí) 現(xiàn) ;(8) 是一個(gè)復(fù)雜的要求， 如何做到可信的環(huán)境 也是一個(gè)復(fù)雜的命題， 畢竟在多數(shù)情況下， 我們 的計(jì)算環(huán)境還是建立在一個(gè)開放的平臺(tái)上進(jìn)行 建設(shè)。而且，從硬件開始至操作系統(tǒng)，基本都是 國外的產(chǎn)品構(gòu)成 . 可信執(zhí)行保護(hù)只能在操作系統(tǒng) 平臺(tái)上實(shí)現(xiàn)，很難做到完全的可信。2.2安全

5、區(qū)域邊界設(shè)計(jì)(1) 區(qū)域邊界訪問控制 要求在區(qū)域邊界進(jìn)行控制，防止非授權(quán)訪問。(2) 區(qū)域邊界包過濾要求在區(qū)域邊界進(jìn)行包過濾檢測(cè)措施。(3) 區(qū)域邊界安全審計(jì)要求在區(qū)域邊界進(jìn)行安全審計(jì)措施，保證內(nèi)外數(shù)據(jù)的審計(jì)。(4) 區(qū)城邊界完整性保護(hù)應(yīng)在區(qū)域邊界設(shè)置探測(cè)器，例如外接探測(cè)軟件，探淵非法外聯(lián)和人侵行為，并及時(shí)報(bào)告安全 管理中心。2. 3安全通信網(wǎng)絡(luò)設(shè)計(jì)(1) 通信網(wǎng)絡(luò)安全審計(jì)在安全通信網(wǎng)絡(luò)設(shè)置審計(jì)機(jī)制，由安全管理 中心集中管理，并對(duì)確認(rèn)的違規(guī)行為進(jìn)行報(bào)警。(2) 通信網(wǎng)絡(luò)數(shù)據(jù)傳輸完軼性保護(hù)對(duì)網(wǎng)絡(luò)傳輸數(shù)據(jù)進(jìn)行完整性檢驗(yàn)和保護(hù)。保 證網(wǎng)絡(luò)傳輸數(shù)據(jù)的安全性。(3) 通信網(wǎng)絡(luò)數(shù)據(jù)傳輸保密性保護(hù)對(duì)網(wǎng)絡(luò)數(shù)據(jù)

6、進(jìn)行傳輸保密。(4) 通信網(wǎng)絡(luò)可信接人保護(hù) 對(duì)通信網(wǎng)絡(luò)釆用可信接人保護(hù)。安全通信網(wǎng)絡(luò)設(shè)計(jì)主要是針對(duì)通信網(wǎng)絡(luò)的 保密要求，釆用網(wǎng)絡(luò)加密技術(shù)可以實(shí)現(xiàn)等級(jí)保護(hù) 三級(jí)中的所有要求，這里我們采用VPN技術(shù)實(shí)現(xiàn) 對(duì)通信網(wǎng)絡(luò)和數(shù)據(jù)的保護(hù)。2. 4安全管理中心設(shè)計(jì)(1) 系統(tǒng)管理等保三級(jí)要求系統(tǒng)可以對(duì)系統(tǒng)管理員的行 為進(jìn)行身份鑒別和授權(quán)，僅允許系統(tǒng)管理員訪問 特定的界面和特定的系統(tǒng)。在多數(shù)情況下，系統(tǒng) 管理員可以分為網(wǎng)絡(luò)管理員、主機(jī)管理員和存儲(chǔ) 管理員。網(wǎng)絡(luò)管理員主要對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行策略配 置。主機(jī)管理員主要對(duì)服務(wù)器操作系統(tǒng)進(jìn)行管理 和配置。多數(shù)情況下，主機(jī)管理員又分為PC服 務(wù)器管理員和小型機(jī)管理員；存儲(chǔ)管理

7、員主要對(duì) 存儲(chǔ)設(shè)備進(jìn)行維護(hù)和管理。(2) 安全管理等保三級(jí)要求對(duì)安全管理員進(jìn)行身份鑒別 和授權(quán)?？偹苤?，安全管理員僅是對(duì)安全設(shè)備 的管理，安全設(shè)備又涉及到了整個(gè)計(jì)算系統(tǒng)的各 個(gè)方面，對(duì)安全管理員的管理也變得尤為重要， 多數(shù)安全設(shè)備都具有LOG記錄功能，同時(shí)提供了 方便的接口可以進(jìn)行授權(quán)管理。(3) 審計(jì)管理等保共級(jí)要求對(duì)安全審計(jì)員進(jìn)行身份鑒別 和管理， 安全審計(jì)員要和多種設(shè)備打交道， 如何 保證安全審計(jì)員的行為進(jìn)行控制同樣是一個(gè)復(fù) 雜的要求。2、網(wǎng)絡(luò)的現(xiàn)狀分析 3、具體設(shè)計(jì)實(shí)施 3、針對(duì)本單位的具體實(shí)踐3.1 安全計(jì)算環(huán)境建設(shè) 安全計(jì)算環(huán)境設(shè)計(jì)選用的一個(gè)重要的產(chǎn)品 是高強(qiáng)度的多因子身份認(rèn)證系

8、統(tǒng)， 采用該身份認(rèn) 證系統(tǒng)，可以實(shí)現(xiàn)等保三級(jí)中要求的用戶身份鑒 別、自主訪問控制、標(biāo)記和強(qiáng)制訪問控制、系統(tǒng) 安全審計(jì)等要求， 筆者采用基于代理技術(shù)的身份 認(rèn)證技術(shù)。 除了以上功能外， 還可以實(shí)現(xiàn)對(duì)訪問 過程的控制，保證請(qǐng)求的有效、請(qǐng)求過程的正確、 數(shù)據(jù)格式的正確等等。敏感數(shù)據(jù)保護(hù)系統(tǒng)是一個(gè)近年來剛剛興起 的技術(shù)， 普遍基于文件驅(qū)動(dòng)管理技術(shù)， 優(yōu)點(diǎn)在干 穩(wěn)定性較好，缺點(diǎn)在于其工作在操作系統(tǒng)平臺(tái)之 上，在操作系統(tǒng)內(nèi)部是沒有辦法對(duì)數(shù)據(jù)進(jìn)行保護(hù) 的。當(dāng)前市面上有些企業(yè)采用國外的技術(shù)實(shí)現(xiàn)了 在操作系統(tǒng)內(nèi)部的數(shù)據(jù)保護(hù)， 但是其穩(wěn)定性還待 進(jìn)一步觀察。該系統(tǒng)可以實(shí)現(xiàn)等保三級(jí)要求的用 戶數(shù)據(jù)完整性保護(hù)、 用戶

9、數(shù)據(jù)保密性保護(hù)和客體 安全重用的要求?？尚庞?jì)算平臺(tái)是一個(gè)復(fù)雜的間題， 到日前為 止，筆者無法選用合適的技術(shù)和產(chǎn)品完全滿足這 個(gè)要求，在目前的情況下可以采用主機(jī)加固和增 強(qiáng)類產(chǎn)品實(shí)現(xiàn)。3.2 安全區(qū)域邊界建設(shè) 外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)保護(hù)系統(tǒng)由防火墻、 防 DDoS攻擊設(shè)備、人侵檢測(cè)設(shè)備、防病毒網(wǎng)關(guān)組 成。防火墻只開放必需的服務(wù)端日， 若配有 IDS, 需考慮兩者之間的聯(lián)動(dòng)， 提供對(duì)攻擊的檢測(cè)和報(bào) 警。防 DDoS設(shè)施起到對(duì)外部網(wǎng)絡(luò)層分布式拒絕 服務(wù)攻擊的基本控制作用。 完整的抵御分布式拒 絕服務(wù)攻擊還包括整體應(yīng)用策略和應(yīng)用層機(jī)制。防病毒網(wǎng)關(guān)對(duì)流入數(shù)據(jù)進(jìn)行防毒檢溯， 作為 防毒的第一道防線， 在邊界起

10、到章要的作用。 但 是僅僅具有防病毒網(wǎng)關(guān)是不夠的， 還必須在終端 安裝網(wǎng)絡(luò)防病毒軟件， 做到全網(wǎng)統(tǒng)一策略， 從而 可以保證對(duì)流入的病毒進(jìn)行實(shí)時(shí)查殺。 這里需要 說明的是，國外品牌的防毒軟件大部分在遇到無 法殺毒的染毒文件時(shí)， 采用保守策略， 僅僅是警 告或者移動(dòng)文件至保護(hù)區(qū)。 國內(nèi)的軟件大部分采 用側(cè)除文件的操作。 在某些極端環(huán)境下， 兩種方 法都有可能給用戶帶來問題， 筆者選用了殺毒軟 件和終端管理軟件相結(jié)合的方式， 保證染毒文件 可以通過網(wǎng)絡(luò)移動(dòng)到指定的病毒服務(wù)器的相應(yīng) 目錄下，便于安全管理員進(jìn)行下一步的處理。3.3安全通信網(wǎng)絡(luò)建設(shè) 安全通信網(wǎng)絡(luò)的要求基本上可以采用一臺(tái) VPN設(shè)備解決 :

11、 外部終端需訪問內(nèi)部網(wǎng)絡(luò)資源時(shí)， 可以采用 IPSecVPN或者 SSL VPN;若具有分支機(jī) 構(gòu)的情況，采用帶有加速功能的 VPN設(shè)備可以提 高網(wǎng)絡(luò)傳輸效率。 IPSecVPN 的技術(shù)較為成熟， 配置相對(duì)比較麻煩，在實(shí)際使用過程中不如 SSL VPN方便。針對(duì)等保三級(jí)的要求， VPN系統(tǒng)的審計(jì)、數(shù) 據(jù)校驗(yàn)等功能都必須打開。3.4 安全管理中心建設(shè) 目前很多廠商提供安全管理中心的設(shè)計(jì)和 解決方案，然而筆者研究了多個(gè)產(chǎn)品的解決方 案，無論是 SOC產(chǎn)品還是安全管理平臺(tái)產(chǎn)品， 多 數(shù)冠以按照 ITIL 規(guī)范設(shè)計(jì)和部署，但是基本上 沒有一家產(chǎn)品可以真正實(shí)現(xiàn) ITIL 規(guī)范中所要求 的各個(gè)實(shí)現(xiàn)，所涉及

12、的安全產(chǎn)品僅限于少量的合 作伙伴的產(chǎn)品， 很難做到大范圍內(nèi)產(chǎn)品的統(tǒng)一管 理，這主要是由于目前安全產(chǎn)品沒有遵循統(tǒng)一的 規(guī)范造成的。為了既滿足等保要求又能真正解決實(shí)際需 求，筆者考慮選用多個(gè)產(chǎn)品來實(shí)現(xiàn)安全管理中心 的功能 : 各個(gè)被管理系統(tǒng)的管理工具 +數(shù)據(jù)銘合 的方式實(shí)現(xiàn)。選用多個(gè)產(chǎn)品也有利于將不同的權(quán) 限從系統(tǒng)級(jí)別進(jìn)行劃分，劃歸不同人員進(jìn)行管 理，從而為管理制度 _L 的相互約束提供技術(shù)支 撐。當(dāng)各個(gè)對(duì)象的管理工具將信息獲取到以后， 采用數(shù)據(jù)整合管理工具實(shí)現(xiàn)對(duì)這些數(shù)據(jù)的最后 整合。數(shù)據(jù)整合的產(chǎn)品比較多， 尤其在 ERP系統(tǒng) 中使用比較廣泛，用以提供最高管理者進(jìn)行決 策，價(jià)格也能夠?yàn)橐话闫髽I(yè)所接

13、受， 只是在以前 的方案設(shè)計(jì)中， 很少考慮到將該產(chǎn)品用于安全管 理中心。在安全管理中心建設(shè)中利用數(shù)據(jù)整合工 具可實(shí)現(xiàn)多個(gè)管理工具之間的信息互通。筆者在本單位安全管理中心的設(shè)計(jì)中， 采用 運(yùn)維管理、內(nèi)網(wǎng)管理、網(wǎng)絡(luò)管理、 LOG日志管理 相結(jié)合的方式，同時(shí)在安全設(shè)備和網(wǎng)絡(luò)設(shè)備的選 擇中，著重考慮系統(tǒng)之間的兼容性和開放性， 避 免由于某個(gè)設(shè)備無法進(jìn)行安全管理而造成枯個(gè) 網(wǎng)絡(luò)的無序。3.5 安全管理規(guī)范制定 目前在業(yè)界內(nèi)大多數(shù)用戶也已經(jīng)達(dá)成共識(shí)， 單純依靠技術(shù)不能解決所有的安全問題， 必須配 套相應(yīng)的管理手段。 安全管理規(guī)范是必要而且非 常重要的輔助手段， 筆者所在單位根據(jù)實(shí)際的情 況，采用系統(tǒng)管理員、安全管理員、安全審計(jì)員 三權(quán)分立、 互不兼任的原則， 約束各個(gè)管理員的 行為，同時(shí)配合門禁、 USB Key 等手段，